Tylne drzwi DRILLAPP
Analitycy ds. cyberbezpieczeństwa zidentyfikowali nową kampanię zagrożeń wymierzoną w organizacje ukraińskie, ze wskaźnikami sugerującymi zaangażowanie podmiotów powiązanych z Rosją. Aktywność, zaobserwowana po raz pierwszy w lutym 2026 roku, technicznie pokrywa się z wcześniejszą operacją przypisywaną grupie znanej jako Laundry Bear (znanej również jako UAC-0190 lub Void Blizzard). Ta wcześniejsza kampania była wymierzona w ukraińskie siły obronne i wykorzystywała rodzinę złośliwego oprogramowania o nazwie PLUGGYAPE.
Najnowsza operacja polega na wprowadzeniu backdoora opartego na JavaScript, uruchamianego za pośrednictwem przeglądarki Microsoft Edge. Szkodliwe oprogramowanie, określane przez badaczy jako DRILLAPP, wykorzystuje możliwości przeglądarki do przesyłania i pobierania plików, uzyskiwania dostępu do mikrofonu oraz przechwytywania obrazu z kamery internetowej ofiary.
Atakujący wykorzystują taktykę socjotechniczną do dystrybucji złośliwych komponentów. Wabiki odwołujące się do kwestii prawnych lub organizacji charytatywnych są wykorzystywane do zachęcania ofiar do otwierania złośliwych plików i inicjowania łańcucha infekcji.
Spis treści
Zwodnicze przynęty i początkowa metoda zakażenia
Kampania wystąpiła w dwóch różnych wariantach. Pierwsza wersja, wykryta na początku lutego 2026 roku, wykorzystuje plik skrótu systemu Windows (LNK) jako początkowy mechanizm dostarczania. Po uruchomieniu skrót tworzy plik aplikacji HTML (HTA) w katalogu tymczasowym systemu. Ten plik HTA pobiera następnie zdalny skrypt hostowany w legalnej usłudze udostępniania wklejania Pastefy.
Aby utrzymać się w zainfekowanych systemach, atakujący kopiują złośliwy plik LNK do folderu Autostart systemu Windows, zapewniając jego automatyczne uruchamianie po każdym ponownym uruchomieniu systemu. Po rozpoczęciu łańcucha infekcji, ofiarom prezentowane są adresy URL zawierające podejrzane motywy, w tym instrukcje dotyczące instalacji Starlinka lub odniesienia do ukraińskiej organizacji charytatywnej Come Back Alive Foundation.
Plik HTA jest ostatecznie uruchamiany za pośrednictwem przeglądarki Microsoft Edge działającej w trybie bezobsługowym, co pozwala przeglądarce na wykonanie zaciemnionego skryptu pobranego z Pastefy bez wyświetlania standardowego okna przeglądarki.
Wykorzystywanie parametrów przeglądarki do ukrytego dostępu
Aby zmaksymalizować swoje możliwości, złośliwy proces uruchamia przeglądarkę Edge z wieloma parametrami, które osłabiają wbudowane zabezpieczenia i umożliwiają nieautoryzowany dostęp do poufnych zasobów systemowych.
Te parametry pozwalają przeglądarce ominąć typowe zabezpieczenia i wykonywać czynności normalnie ograniczone przez modele zabezpieczeń przeglądarki. Konfiguracja ta skutecznie umożliwia złośliwemu oprogramowaniu dostęp do plików lokalnych, przechwytywanie strumieni audio i wideo oraz rejestrowanie aktywności na ekranie bez konieczności interakcji ze strony ofiary.
Do najważniejszych parametrów przeglądarki użytych w ataku należą:
--no-sandbox
--disable-web-security
--allow-file-access-from-files
--use-fake-ui-for-media-stream
--auto-select-screen-capture-source=true
--disable-user-media-security
W wyniku nadużywania tych ustawień przeglądarka staje się funkcjonalnym elementem infrastruktury złośliwego oprogramowania, a nie tylko platformą jego rozprzestrzeniania.
Możliwości backdoorów i nadzoru oparte na przeglądarce
Artefakt DRILLAPP działa jak lekki, ale wszechstronny backdoor. Po aktywacji umożliwia atakującym interakcję z zainfekowanym systemem za pośrednictwem funkcji przeglądarki, skutecznie przekształcając przeglądarkę w narzędzie do zdalnego nadzoru.
Szkodliwe oprogramowanie potrafi wykonywać kilka operacji umożliwiających rozbudowany monitoring i zbieranie danych z zainfekowanych urządzeń.
Podstawowe możliwości obejmują:
- Przesyłanie i pobieranie plików z systemu lokalnego
- Przechwytywanie dźwięku przez mikrofon urządzenia
- Nagrywanie wideo za pomocą kamery internetowej
- Robienie zrzutów ekranu wyświetlacza systemowego
- Generowanie unikalnego odcisku palca urządzenia przy użyciu technik odcisku palca płótna
Podczas pierwszego uruchomienia złośliwe oprogramowanie generuje odcisk palca urządzenia i wykorzystuje Pastefy jako „dead-drop resolver” do pobrania adresu WebSocket używanego do komunikacji typu command-and-control. Ta architektura umożliwia atakującym dynamiczne przekierowywanie zainfekowanych systemów do ich infrastruktury operacyjnej.
Backdoor przesyła również odcisk palca urządzenia wraz z wnioskowaną lokalizacją geograficzną ofiary. Lokalizacja jest określana na podstawie strefy czasowej systemu i porównywana z predefiniowaną listą obejmującą Wielką Brytanię, Rosję, Niemcy, Francję, Chiny, Japonię, Stany Zjednoczone, Brazylię, Indie, Ukrainę, Kanadę, Australię, Włochy, Hiszpanię i Polskę. Jeśli strefa czasowa nie pasuje do żadnego z tych regionów, złośliwe oprogramowanie domyślnie identyfikuje system jako znajdujący się w Stanach Zjednoczonych.
Rozwijające się techniki w drugim wariancie kampanii
Druga wersja kampanii pojawiła się pod koniec lutego 2026 roku, wprowadzając kilka modyfikacji przy jednoczesnym zachowaniu ogólnej struktury ataku. Zamiast polegać na plikach skrótów LNK, zaktualizowany wariant wykorzystuje moduły Panelu sterowania systemu Windows jako początkowy mechanizm dostarczania.
Sam komponent backdoor również otrzymał udoskonalenia funkcjonalne. Udoskonalenia te pozwalają złośliwemu oprogramowaniu na wykonywanie głębszych operacji w systemie plików i zwiększają jego zdolność do eksfiltracji danych z zainfekowanych środowisk.
Wśród istotnych usprawnień można wymienić rekurencyjne wyliczanie plików, przesyłanie plików wsadowych oraz możliwość pobierania dowolnych plików bezpośrednio do zainfekowanego systemu.
Omijanie ograniczeń JavaScript za pomocą narzędzi debugowania Chromium
Standardowe ograniczenia bezpieczeństwa JavaScript zazwyczaj uniemożliwiają zdalnemu kodowi bezpośrednie pobieranie plików do systemu ofiary. Aby obejść to ograniczenie, atakujący wykorzystują protokół Chrome DevTools (CDP), wewnętrzny interfejs debugowania używany przez przeglądarki oparte na Chromium.
Dostęp do protokołu CDP jest możliwy tylko po uruchomieniu przeglądarki z włączonym parametrem --remote-debugging-port. Aktywując tę funkcję debugowania, atakujący zyskują możliwość programowego sterowania zachowaniem przeglądarki i omijania typowych ograniczeń po stronie klienta, umożliwiając zdalne pobieranie plików, które w przeciwnym razie byłyby zablokowane.
Wczesne wskaźniki rozwoju i infrastruktura eksperymentalna
Dowody wskazują, że złośliwe oprogramowanie jest wciąż w fazie aktywnego rozwoju. Wczesny wariant, odkryty w środowisku naturalnym 28 stycznia 2026 roku, komunikował się wyłącznie z domeną „gnome.com”, zamiast pobierać swój główny ładunek z Pastefy.
Takie zachowanie wskazuje, że sprawcy zagrożenia mogą nadal udoskonalać zarówno swoją infrastrukturę, jak i możliwości operacyjne tylnego wejścia.
Nadużywanie przeglądarek jako nowa strategia unikania
Jednym z najważniejszych aspektów tej kampanii jest celowe wykorzystanie przeglądarki internetowej jako głównego środowiska uruchomieniowego dla backdoora. To podejście uwydatnia rosnący trend, w którym atakujący wykorzystują legalne oprogramowanie, aby uniknąć wykrycia.
Przeglądarki oferują szereg korzyści w przypadku operacji złośliwych. Są powszechnie używane i zazwyczaj uważane za nieszkodliwe procesy, co zmniejsza prawdopodobieństwo natychmiastowego podejrzenia. Dodatkowo, parametry debugowania przeglądarki mogą odblokować zaawansowane funkcje, które umożliwiają wykonywanie czynności, które w innym przypadku byłyby ograniczone, takich jak zdalne pobieranie plików i rozległy dostęp do systemu.
Co więcej, przeglądarki zachowują uzasadnione uprawnienia do interakcji z wrażliwymi zasobami sprzętowymi, w tym mikrofonami, kamerami i mechanizmami przechwytywania ekranu, co pozwala atakującym na prowadzenie działań inwigilacyjnych, jednocześnie zakłócając normalne zachowanie systemu.
